Siber güvenlik şirketi ESET, kalıcılık sağlamak için yürütme akışında üretken yapay zekâyı berbata kullanan bilinen birinci Android berbat emelli yazılımı olan PromptSpy’ı keşfetti. Saldırganlar, makûs hedefli kullanıcı arayüzü manipülasyonunu yönlendirmek için bir yapay zekâ modelini (özellikle Google’ın Gemini modelini) kullanmaya dayandıkları için ESET, bu aileye PromptSpy ismini verdi.
Kötü hedefli yazılım kilit ekranı datalarını yakalayabiliyor. Kaldırma teşebbüslerini engelleyebiliyor, aygıt bilgilerini toplayabiliyor, ekran manzarası alabiliyor ve ekran aktifliğini görüntü olarak kaydedebiliyor. ESET araştırmacıları bilinen birinci yapay zekâ takviyeli fidye yazılımı olan PromptLock’u, Ağustos 2025’te keşfetmişlerdi. PromptSpy ESET Research’ün keşfettiği ikinci yapay zekâ takviyeli makus emelli yazılım oldu.
Dil yerelleştirme ipuçları ve tahlil sırasında gözlemlenen dağıtım vektörlerine dayanarak, bu kampanyanın finansal emelli olduğu ve öncelikle Arjantin’deki kullanıcıları hedeflediği görülüyor. Lakin PromptSpy şimdi ESET telemetrisinde gözlemlenmedi, bu da muhtemelen bir kavram ispatı niteliğinde olduğunu gösteriyor. Üretken yapay zekâ, PromptSpy’ın kodunun nispeten küçük bir kısmında (kalıcılık sağlamaktan sorumlu olan bölüm) kullanılmasına karşın berbat hedefli yazılımın uyarlanabilirliği üzerinde değerli bir tesire sahip. Bilhassa, Gemini, PromptSpy’a makûs maksatlı uygulamanın son uygulamalar listesinde (çoğu Android başlatıcının çoklu misyon görünümünde ekseriyetle bir asma kilit simgesiyle temsil edilir) “kilitli”, yani sabitlenmiş hâle getirilmesi için adım adım talimatlar sağlamak gayesiyle kullanılır. Böylelikle uygulamanın sistem tarafından basitçe silinmesini yahut kapatılmasını önler. Yapay zekâ modeli ve komut istemi kodda evvelden tanımlanmıştır ve değiştirilemez.
PromptSpy’ı keşfeden ESET araştırmacısı Lukáš Štefanko şu açıklamayı yaptı: “Android berbat maksatlı yazılımları çoklukla UI tabanlı navigasyona dayandığından üretken yapay zekâyı kullanmak, tehdit aktörlerinin çabucak hemen her aygıta, tertibe yahut işletim sistemi sürümüne ahenk sağlamasına imkan tanır ve bu da potansiyel kurban havuzunu büyük ölçüde artırabilir. PromptSpy’ın temel maksadı, operatörlere kurbanın aygıtına uzaktan erişim sağlayan yerleşik bir VNC modülü dağıtmaktır. Bu Android makus maksatlı yazılımı ayrıyeten Erişilebilirlik Hizmetlerini berbata kullanarak görünmez kaplamalarla kaldırılmasını mahzurlar, kilit ekranı bilgilerini yakalar ve ekran aktifliğini görüntü olarak kaydeder. AES şifreleme yoluyla Komuta ve Denetim sunucusuyla bağlantı kurar.”
PromptSpy, özel bir web sitesi aracılığıyla dağıtılıyor ve Google Play’de hiç bulunmamıştı. Bununla birlikte, App Defense Alliance ortağı olan ESET, bulgularını Google ile paylaşmıştı. Android kullanıcıları, Google Play Hizmetleri’ne sahip Android aygıtlarda varsayılan olarak aktifleştirilen Google Play Protect tarafından bu makûs gayeli yazılımın bilinen sürümlerine karşı otomatik olarak korunuyor.
Lukáš Štefanko, PromptSpy Gemini’yi sadece bir özelliğinde kullanıyor olsa da bu araçların uygulanmasının makus maksatlı yazılımları nasıl daha dinamik hâle getirebileceğini ve tehdit aktörlerine klâsik komut belgesi yazımıyla olağanda daha sıkıntı olan aksiyonları otomatikleştirme yolları sunduğunu gösterdiğini söyledi.
Uygulamanın ismi MorganArg ve simgesi Morgan Chase’den esinlenmiş üzere göründüğünden bu berbat emelli yazılım muhtemelen Morgan Chase bankasını taklit ediyor. MorganArg, muhtemelen “Morgan Argentina”nın kısaltması ve önbelleğe alınmış web sitesinin ismi olarak da görünür, bu da bölgesel bir hedefleme odağı olduğunu düşündürüyor.
PromptSpy, ekrana görünmez öğeler yerleştirerek kaldırılmasını engellediğinden kurbanın bunu kaldırmasının tek yolu, aygıtı İnançlı Modda tekrar başlatmak. İnançlı Modda, üçüncü taraf uygulamalar devre dışı bırakılır ve olağan formda kaldırılabilir. İnançlı Mod’a girmek için kullanıcılar çoklukla güç düğmesini basılı tutmalı, Güç kapat’a uzun basmalı ve İnançlı Mod’da Tekrar Başlat komutunu onaylamalıdır (ancak kesin metot aygıta ve üreticiye nazaran farklılık gösterebilir). Telefon İnançlı Modda tekrar başlatıldığında, kullanıcı Ayarlar → Uygulamalar → MorganArg’a gidip engellenmeden kaldırma sürecini gerçekleştirebilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
